Publication de la mise à jour de Debian 8.4

2 avril 2016

Le projet Debian a l'honneur d'annoncer la quatrième mise à jour de sa distribution stable Debian 8 (nommée Jessie). Tout en réglant quelques problèmes importants, cette mise à jour corrige principalement des problèmes de sécurité de la version stable. Les annonces de sécurité ont déjà été publiées séparément et sont simplement référencées dans ce document.

Veuillez noter que cette mise à jour ne constitue pas une nouvelle version Debian 8 mais seulement une mise à jour de certains des paquets qu'elle contient. Il n'est pas nécessaire de jeter les anciens CD et DVD de la version Jessie mais simplement de faire une mise à jour à l’aide d’un miroir Debian après une installation, pour déclencher la mise à jour de tout paquet obsolète.

Ceux qui installent fréquemment les mises à jour à partir de security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la plupart des mises à jour de security.debian.org sont comprises dans cette mise à jour.

De nouveaux supports d'installation et des images de CD et de DVD contenant les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.

La mise à jour en ligne vers cette version se fait en faisant pointer l'outil de gestion des paquets aptitude (ou apt) (consultez la page de manuel sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une liste complète des miroirs est disponible à l'adresse :

https://www.debian.org/mirror/list

Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet Raison
amavisd-new Configuration de LC_ALL avant l'exécution du démon
amd64-microcode Mise à jour du microcode correctif d'AMD pour les processeurs de la famille 15h d'AMD pour corriger les bogues d'un correctif de microcode précédent
apt apt-pkg/algorithms.cc : évitement d'un dépassement de pile dans KillList
aptdaemon Correction de sécurité [CVE-2015-1323]
ardour Réempaquetage pour retirer libs/pdb/dmalloc.cc
base-files Mise à jour pour cette version
c-icap-modules Reconstruction avec libclamav7
cairo Correction de sécurité [CVE-2016-3190]
cinnamon-settings-daemon Correction du bogue de sécurité mineur (absence de vérification de polkit)
clamav Nouvelle version amont ; évitement d'accès d'adresse mémoire non alignée
conkeror Correction de la correspondance des messages d'erreur de chargement de module pour fonctionner avec Firefox 36
dansguardian Reconstruction avec libclamav7
debian-installer Reconstruction avec proposed-updates
debian-installer-netboot-images Reconstruction avec le nouvel installateur Debian
dolibarr Plusieurs corrections de sécurité [CVE-2015-3935 CVE-2015-8685 CVE-2016-1912]
espeakup Recherche des langues disponibles indépendante de la hiérarchie des fichiers ; utilisation du portugais pour le galicien ; synth.c : correction de la recherche de voix par nom de langue
exactimage Correction de sécurité [CVE-2015-8366]
fglrx-driver libfglrx-amdxvba1 : ajout de Breaks et Replaces : xvba-va-driver (<< 0.8.0-9+deb) puisque maintenant fglrx_drv_video.so et xvba_drv_video.so sont fournis
flash-kernel Utilisation de /dev/mtdN lors du flashage, plutôt que de passer inutilement par la couche mtdblock (ce qui est problématique avec certaines plates-formes ou noyaux) ; utilisation de nandwrite lors de l'écriture des mémoires flash nand
fonts-sil-andika Retrait effectif de 65-andika.conf
giflib Abandon si Width > SWidth [CVE-2015-7555]
glib2.0 Reconstruction avec pcre3 mis à jour pour introduire des mises à jour de sécurité
glibc Amélioration de granpt quand /dev/pts n'est pas monté avec les options correctes ; pas de construction de pt_chown [CVE-2013-2207]
gnome-shell-extension-weather Nouvel instantané amont, compatible avec la nouvelle API d'openweathermap.org
gnupg Gestion correcte des types de sous-clés inconnus
gtk+2.0 Évitement de dépassement d'entier lors de l'allocation d'un grand bloc de mémoire [CVE-2013-7447]
gummi Mise à jour de la correction de noms de fichiers temporaires prédictibles [CVE-2015-7758] pour utiliser la mise à jour amont
havp Reconstruction avec libclamav7
imagemagick Corrections de sécurité
initramfs-tools Ajout de pilotes manquants et diverses corrections de bogue
installation-guide Ajout de QNAP TS-109, TS-209, TS-409 et TS-409U comme modèles à nouveau pris en charge
libclamunrar Reconstruction pour libclamav7
libdatetime-timezone-perl Mise à jour des données incluses de zone horaire pour tzdata 2016c
librsvg Correction de lecture hors limites de tas lors de l'analyse de fichier SVG [CVE-2015-7557]
libsndfile Correction de déni de service par division par zéro [CVE-2014-9756] et dépassement de tas dans l'analyseur AIFF [CVE-2015-7805]
libvirt Interdiction de '/' dans le volume du système de fichiers [CVE-2015-5313] ; libvirt-daemon : qemu-bridge-helper attendu dans /usr/lib/qemu
linux Mise à jour vers la nouvelle version amont 3.16.7-ckt25 ; ajout de dm-service-time à multipath-modules ; ajout de la prise en charge du processeur MIPS 5KE
mongrel2 Commentaire de l'échec des tests provoqué par l'expiration de certificat
mozilla-devscripts Mise à jour de la génération des variables de substitution de dh_xul-ext pour les transitions à venir dans stable, d'iceweasel à firefox-esr, et d'icedove à thunderbird
nettle Plusieurs corrections de sécurité [CVE-2015-8803 CVE-2015-8804 CVE-2015-8805]
nss-pam-ldapd Correction de problèmes avec la démonisation de nslcd et évitement de situation de compétition dans la gestion de signal durant le démarrage ; correction des alertes d'expiration de la politique des mots de passe ; assurance de code de retour correct du script init
osmo Correction de sauvegarde de données corrompues sur i386
pagekite Ajout de dépendances de construction manquantes de python-openssl pour corriger l'échec de test
pam Reconstruction pour corriger la co-installation multi-architecture
pcre3 Correction de dépassement d'espace de travail pour (*ACCEPT) avec des parenthèses extrêmement emboîtées [CVE-2016-3191] ; correction de dépassement de tas dans la gestion de noms de groupe dupliqués [CVE-2016-1283] ; correction d'un problème de sauts de tableaux imbriqués [CVE-2014-9769]
pgplot5 Correction d'échec de construction en utilisant un chemin multiarchitecture vers zconf.h
php-dompdf Correction de vulnérabilités de divulgation d'informations [CVE-2014-5011], de déni de service [CVE-2014-5012] et d'exécution de code à distance [CVE-2014-5013]
php-mail-mime Ajout de dépendances manquantes à php-pear
php-net-ldap2 Correction d'erreur fatale avec les versions les plus récentes de PEAR
php5 Nouvelle version amont stable ; retour de la version de PEAR pour la dernière version fonctionnant issue de PHP 5.6.14
postgresql-9.1 Nouvelle version amont
postgresql-common pg_upgradecluster : configuration par défaut dynamic_shared_memory_type = mmap ; cela évite essentiellement des problèmes de mise à niveau de grappes existantes dans un conteneur LXC
python-clamav Reconstruction avec libclamav7
python-rsa Correction d'une possible contrefaçon de signature utilisant l'attaque Bleichenbacher'06 [CVE-2016-1494]
rdesktop Correction d'une erreur de segmentation lors de l'utilisation de credssp et Kerberos sans spécifier de nom de domaine en argument
rsnapshot Correction de la régression sur --rsh avec des arguments
ruby-defaults ruby : solution du conflit avec ruby-activesupport-2.3 versionné en (<< 2:4) pour permettre l'installation du paquet de transition
ruby-standalone Installation de 'rubyX.Y' comme un lien vers 'ruby' pour que les exécutables installés par bundler fonctionnent
ruby-tzinfo Chargement d'iso3166.tab et de zone.tab comme UTF-8
s3ql Prise en charge des mises à jour des systèmes de fichiers créés avec la version S3QL dans Debian Wheezy
sane-backends Réécriture de debian/saned@.service pour éviter les erreurs de numérisation en réseau ; évitement du démarrage avec le script de repli /etc/init.d/saned
sitesummary Correction du script postinst bloquant et du lien symbolique bancal dans la configuration d'Apache après retrait
stress Arrêt de l'installation de info/dir.gz
subversion Correction de l'erreur de segmentation lors de l'utilisation de kwallet pour stocker les informations d'authentification
suckless-tools slock : redimensionnement correct de la fenêtre de masquage lors de l'ajout de nouveaux écrans ou de modification de résolution alors que le verrou est actif
sus Mise à jour de la somme de contrôle de l'archive amont
systemd Assurance que toutes les unités de swap sont ordonnées avant la cible de swap. Cela évite que les périphériques swap ne s'arrêtent prématurément pendant l'extinction ; saut de la vérification du système de fichiers pour /usr seulement si le fichier d'étiquette /run/initramfs/fsck-usr existe, évitant des problèmes lors de l'utilisation de dracut ; correction de --network-interface dans systemd-nspawn pour éviter l'échec lors de la modification d'un lien existant ; suppression de l'appel d'addgroup avec --quiet ; debian/udev.prerm : ajout de l'action deconfigure manquante
torbrowser-launcher Désactivation de l'épinglage de certificats, pour éviter des problèmes avec une prochaine modification de certificat ; évitement d'attaque de vérification de signature en transmettant à gpg à la fois le fichier de données et le fichier de signature [CVE-2016-3180]
tzdata Nouvelle version amont
unbound Mise à jour des conseils pour H.ROOT-SERVERS.NET
user-mode-linux Reconstruction avec le noyau Linux 3.16.7-ckt20-1+deb8u3
vsftpd Correction de l'option de configuration deny_file qui n'est pas toujours correctement gérée [CVE-2015-1419] ; configuration de la valeur par défaut de tunable_listen à la même valeur de listen que celle de la page de manuel vsftpd.conf
whatmaps Respect du nouveau nom du paquet Apache dans Jessie
xvba-video Transformation de xvba-va-driver, rendu obsolète comme paquet isolé par fglrx-driver 1:15.9, en méta-paquet vide

Mises à jour de sécurité

Cette révision ajoute les mises à jour de sécurité suivantes à la version stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces mises à jour :

Identifiant Paquet
DSA-3426 ctdb
DSA-3447 tomcat7
DSA-3448 linux
DSA-3449 bind9
DSA-3450 ecryptfs-utils
DSA-3451 fuse
DSA-3452 claws-mail
DSA-3453 mariadb-10.0
DSA-3454 virtualbox
DSA-3455 curl
DSA-3456 chromium-browser
DSA-3457 iceweasel
DSA-3459 mysql-5.5
DSA-3460 privoxy
DSA-3462 radicale
DSA-3463 prosody
DSA-3464 rails
DSA-3466 krb5
DSA-3467 tiff
DSA-3468 polarssl
DSA-3471 qemu
DSA-3472 wordpress
DSA-3474 libgcrypt20
DSA-3477 iceweasel
DSA-3479 graphite2
DSA-3481 glibc
DSA-3483 cpio
DSA-3484 xdelta3
DSA-3485 didiwiki
DSA-3486 chromium-browser
DSA-3487 libssh2
DSA-3488 libssh
DSA-3490 websvn
DSA-3492 gajim
DSA-3493 xerces-c
DSA-3494 cacti
DSA-3496 php-horde-core
DSA-3497 php-horde
DSA-3498 drupal7
DSA-3499 pillow
DSA-3500 openssl
DSA-3501 perl
DSA-3502 roundup
DSA-3503 linux
DSA-3504 bsh
DSA-3505 wireshark
DSA-3506 libav
DSA-3507 chromium-browser
DSA-3508 jasper
DSA-3509 rails
DSA-3510 iceweasel
DSA-3511 bind9
DSA-3512 libotr
DSA-3513 chromium-browser
DSA-3514 samba
DSA-3515 graphite2
DSA-3516 wireshark
DSA-3517 exim4
DSA-3518 spip
DSA-3519 xen
DSA-3521 git
DSA-3522 squid3
DSA-3523 iceweasel
DSA-3524 activemq
DSA-3526 libmatroska
DSA-3527 inspircd
DSA-3528 pidgin-otr
DSA-3529 redmine
DSA-3531 chromium-browser
DSA-3532 quagga

Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de notre contrôle :

Paquet Raison
gnome-gmail Paquet cassé
nautilus-pastebin Non maintenu

Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés dans cette version.

URLs

Liste complète des paquets qui ont été modifiés dans cette version :

http://ftp.debian.org/debian/dists/jessie/ChangeLog

Adresse de l'actuelle distribution stable :

http://ftp.debian.org/debian/dists/stable/

Mises à jour proposées à la distribution stable :

http://ftp.debian.org/debian/dists/proposed-updates

Informations sur la distribution stable (notes de publication, errata, etc.) :

https://www.debian.org/releases/stable/

Annonces et informations de sécurité :

https://www.debian.org/security/

À propos de Debian

Le projet Debian est une association de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts pour produire le système d'exploitation complètement libre Debian.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org> ou contactez l'équipe de publication de la version stable à <debian-release@lists.debian.org>.